|
|||||||
|
|
|
 |
|
|
Strumenti |
13-06-2004, 21:31
|
#1 |
|
Senior Member
Iscritto dal: Apr 2002
Messaggi: 23793
|
worm zafi---attenzione alle cartoline virtuali!!
è probabile che vi vediate sommersi da una marea di spam in perfetto stile brute-force....
REMOVAL TOOL Name: Win32.Zafi.B@mm Aliases: I-Worm.Zafi.B, Win32/Zafi.B worm Type: Executable Mass Mailer Size: 12,800 (packed with FSG) Discovered: 11.06.2004 Detected: 11.06.2004 Spreading: Low Damage: Medium In The Wild: Unknown Symptoms: - Presence of the next files in %SYSTEM% folder: files with random names, the name is composed of 8 random letters, files with extension .dll and one with extension .exe most of the .dll files store e-mail addresses and are rather small in size (around 1 kbytes) a .dll file and the .exe file are copies of the virus, and have 12,800 bytes each Regedit, Task Manager, Task Monitor don't work Presence in memory of a process called "link" When run, the virus opens Internet Explorer with a recently typed url - Presence of the next registry keys or entries: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"_Hazafibb"="%SYSTEM%\%random%.exe"] where %random% is a name formed from 8 random characters [HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb] with entries b? c? d?, containing information about the infected computer and the exact names of the exe and dll files; where ? may be any digit or capital letter (eg: b1, bA, cA, etc) where %WINDOWS% points to Windows folder (or WinNT on Windows NT based systems) %SYSTEM% points to "System" folder on Windows 9x systems and "System32" folder on WinNT systems. Technical description: The virus arrives via e-mail, in the following formats (for: .hu .sp .ru .dk .ro .se .se .no .fi .lt .pl .pt .de .nl .cz .fr .it) The From: field is spoofed Subject: eIngyen SMS! Body: ------------------------ hirdetés ----------------------------- A sikeres 777sms.hu és az axelero.hu támogatásával újra indul az ingyenes sms küldõ szolgáltatás! Jelenleg ugyan korlátozott számban, napi 20 ingyen smst lehet felhasználni. Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs lap kitöltése után azonnal igénybevehetõ! Bõvebb információt a www.777sms.hu oldalon találsz, de siess, mert az elsõ ezer felhasználó között értékes nyereményeket sorsolunk ki! ------------------------ axelero.hu --------------------------- Attachment: regiszt.php?3124freesms.index777.pif Subject: Importante! Body: Informacion importante que debes conocer, - Attachment: link.informacion.phpV23.text.message.pif Subject: E-Kort! Body: Mit hjerte banker for dig! Attachment: link.ekort.index.phpV7ab4.kort.pif Subject: Ecard! Body: De cand te-am cunoscut inima mea are un nou ritm! Attachment: link.showcard.index.phpAv23.ritm.pif Subject: E-vykort! Body: Till min Alskade... Attachment: link.vykort.showcard.index.phpBn23.pif Subject: E-Postkort! Body: Vakre roser jeg sammenligner med deg... Attachment: link.postkort.showcard.index.phpAe67.pif Subject: E-postikorti! Body: Iloista kesaa! Attachment: link.postikorti.showcard.index.phpGz42.pif Subject: Atviruka! Body: Linksmo gimtadieno! Attachment: link.atviruka.showcard.index.phpGz42.pif Subject: E-Kartki! Body: W Dniu imienin... Attachment: link.kartki.showcard.index.phpVg42.pif Subject: Cartoe Virtuais! Body: Te amo... Attachment: link.cartoe.viewcard.index.phpYj39.pif Subject: Flashcard fuer Dich! Body: Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewc...card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr... Attachment: link.flashcard.de.viewcard34.php.2672aB.pif Subject: Er staat een eCard voor u klaar! Body: Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs... Attachment: postkaarten.nl.link.viewcard.index.phpG4a62.pif Subject: Elektronicka pohlednice! Body: Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz Attachment: link.seznam.cz.pohlednice.index.php2Avf3.pif Subject: E-carte! Body: vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct... Attachment: link.zdnet.fr.ecarte.index.php34b31.pif Subject: Ti e stata inviata una Cartolina Virtuale! Body: Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente. Attachment: link.cartoline.it.viewcard.index.4g345a.pif Subject: You`ve got 1 VoiceMessage! Body: Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R). Attachment: link.voicemessage.com.listen.index.php1Ab2c.pif Subject: Tessek mosolyogni!!! Body: Ha ez a kép sem tud felviditani, akkor feladom! Sok puszi: Attachment: meztelen csajok fociznak.flash.jpg.pif Subject: Soxor Csok! Body: Szia! Aranyos vagy, jó volt dumcsizni veled a neten! Remélem tetszem, és szeretném ha te is küldenél képet magadról, addig is csók: Attachment: anita.image043.jpg.pif Subject: Don`t worry, be happy! Body: Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye: Attachment: http://www.ecard.com.funny.picture.i...ude.php356.pif Subject: Check this out kid!!! Body: Send me back bro, when you`ll be done...(if you know what i mean...) See ya, Attachment: jennifer the wild girl xxx07.jpg.pif Once the attachment has been executed, the virus will do the following: 1. Creates mutex _Hazafibb 2. Prevents execution of the processes containing: regedit, msconfig, task, (eg: regedit, taskman, taskmon, mstask, msconfig) 3. Deletes the following files from Windows folder: fvprotect.exe winlogon.exe services.exe jammer2nd.exe 4. Checks if the computer is connected to the internet by attempting to contact google.com or microsoft.com 5. Searches for e-mail addresses in files matching: htm,wab,txt,dbx,tbb,asp,php,sht,adb,mbx,eml,pmr 6. Avoids e-mail addresses containing: win,use,info,help,admi,webm,micro,msn,hotm,suppor,syma,vir,trend,panda,yaho,cafee,sopho,google,kasper,msn,office,nero,icq,game,winra,winzi,divx,movie,total,wina 7. Stores found e-mail addresses in random named dll files in %SYSTEM% folder 8. Creates registry key and entries: [HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"_Hazafibb"="%SYSTEM%\%random%.exe"] 9. Uses it's own SMTP engine to send itself to harvested e-mails. Attempts to obtain a smtp server address by adding smtp. or mx. etc to the domain from the harvested address or uses a default smtp address. 10. Creates copies of the virus in folders containing "share" or "upload" as winamp 7.0 full_install.exe and/or Total Commander 7.0 full_install.exe 11. Creates a thread that attempts to flood: www.parlament.hu, www.virusbuster.hu, www.virushirado.hu, www.2f.hu 12. May create files C:\SYS.TXT and _upload.exe 13. The virus contains the following string: A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen!2004, jun, Pecs,(SNAF Team).
__________________
....... ___ [Thread Ufficiale] --- VENDO:__COVER + VETRO BQ Aquaris X/X PRO__HW VARIO, ali, mobo, ram, cpu, ventole, etc.__ _CLICCA QUI PER VEDERE LE TRATTATIVE CONCLUSE e LE REGOLE DELLE MIE INSERZIONI__ Ultima modifica di ironia : 13-06-2004 alle 21:37. |
|
|
|
13-06-2004, 21:34
|
#2 |
|
Senior Member
Iscritto dal: Apr 2002
Messaggi: 23793
|
trend non ha ancora rilasciato il pattern ufficialemnte il piu recente èd el 09/06...........
----------------------------------------------------------------------------- Trend Micro New Virus Pattern Release ----------------------------------------------------------------------------- Pattern: 904 v32 (1.904.32) Version: 32 Release Type: Control Release Notes: June 13, 2004 06:03:01 AM (GMT -08:00) --------------------- New Viruses Detected: --------------------- There are [118] new virus detected by the pattern file. All detail virus names please refer to the list below. BAT_CDEDEL.A BAT_FIREWALL.A BKDR_AGENT.G BKDR_CCT.A BKDR_EGGDROP.17 BKDR_IRCBOT.DH BKDR_IRCBOT.MC BKDR_RBOT.C BKDR_RBOT.D BKDR_SDBOT.DD BKDR_SDBOT.GG BKDR_SDBOT.KN BKDR_SERVU.H BKDR_SPYBOT.CY CHM_DLOAD.A CHM_PSYME.C CHM_PSYME.Q CHM_PSYME.X CHM_Psyme.X DDOS_BOXED.E HKTL_SFIND.C HTML_HOTSINGLE.A HTML_MHTREDIR.F HTML_PEREXX.A HTML_REDIR.D JS_PSYME.C JS_PSYME.D JS_PSYME.E PE_ZAFI.B TROJ_BANCOS.AF TROJ_BANCOS.AG TROJ_BANKER.Q TROJ_BOOKMARK.H TROJ_CRITNYT.A TROJ_DELF.BX TROJ_DELF.CY TROJ_DUMPLEX.A TROJ_GLETTA.A TROJ_GRITZ.A TROJ_KILITY.A TROJ_KILLREG.D TROJ_KREPPER.P TROJ_MITGLIEDR.J TROJ_MSERV.A TROJ_PWSLEGMIR.B TROJ_RAKADA.A TROJ_RESTORY.A TROJ_SDBOT.KL TROJ_SMALL.BM TROJ_SMALL.JZ TROJ_SMALL.KB TROJ_SMALL.LY TROJ_SPOONER.B TROJ_STARTPAG.BS TROJ_STARTPAG.DX TROJ_STARTPAG.HI TROJ_STARTPAG.IN TROJ_STARTPAG.MM TROJ_STARTPAG.PA TROJ_STRTPAGE.AA TROJ_STRTPAGE.IL TROJ_VB.HV TROJ_VB.HW TROJ_WINSHOW.AF TROJ_XUXA.A VBS_PSYME.I VBS_PSYME.Q VBS_PSYME.X VBS_PSYME.Y VBS_PUB.A VBS_VBSWG.AI WORM_AGOBOT.HI WORM_AGOBOT.KL WORM_AGOBOT.KO WORM_AGOBOT.KP WORM_AGOBOT.NF WORM_IRCBOT.B WORM_KORGO.M WORM_NEtsky.DAM WORM_PLEXUS.DAM WORM_RANDEX.K WORM_RBOT.AF WORM_RBOT.AG WORM_RBOT.AH WORM_RBOT.AI WORM_RBOT.AJ WORM_RBOT.AM WORM_RBOT.BB WORM_RBOT.BZ WORM_RBOT.CC WORM_RBOT.FA WORM_RBOT.TW WORM_RBOT.X WORM_SDBOT.BZ WORM_SDBOT.CC WORM_SDBOT.HH WORM_SDBOT.KB WORM_SDBOT.O WORM_SDBOT.RA WORM_SDBOT.S WORM_SDBOT.SK WORM_SDBOT.SS WORM_SDBOT.TW WORM_SOBER.H WORM_SPYBOT.AQ WORM_SPYBOT.AR WORM_SPYBOT.AT WORM_SPYBOT.BC WORM_SPYBOT.BR WORM_SPYBOT.DR WORM_SPYBOT.DU WORM_SPYBOT.FF WORM_SPYBOT.GG WORM_SPYBOT.VV WORM_SPYBOT.XP WORM_SPYBOT.XX WORM_TUBTY.A X97M_YESENIA.A ------------------- Virus Name Changed: ------------------- Old Virus Name New Virus Name -------------- -------------- WORM_AGOBOT.GEN WORM_AGOBOT.KG BKDR_IRCBOT.EX WORM_IRCBOT.EX ------------------------- Virus Signature Modified: ------------------------- BKDR_LIVUP.C CHM_DIALER.BH CHM_Dialer.BH CHM_NEX.B CHM_Nex.B CHM_Psyme.Y DDOS_BOXED.D HKTL_SQLCRACK.A HTML_JUNKSURF.B HTML_OBJECTEXP.A HTML_ODATA.B JS_PSYME.Y TROJ_AGENT.G TROJ_AGENT.GEN TROJ_ANGKU.A TROJ_DIALER.BH TROJ_DUMARIN.H TROJ_PLEUZ.B TROJ_SMALL.HI TROJ_STARTPAG.GV TROJ_WINDANG.A VBS_INOR.E WORM_AGOBOT.WF WORM_ANTINNY.C WORM_BAGLE.Z WORM_DANSH.A WORM_DONK.C WORM_KORGO.G WORM_KORGO.H WORM_KORGO.I WORM_LEWOR.A WORM_LOVGATE.Z WORM_NETSKY.DAM WORM_NETSKY.Y WORM_Netsky.DAM WORM_Netsky.dam WORM_PLEXUS.A WORM_PROTORIDE.F WORM_RBOT.AF WORM_RBOT.BZ WORM_SDBOT.RG WORM_Sober.G.DAM Worm_Netsky.dam ------------------------ Virus Signature Dropped: ------------------------ JS_DIALOGARG.A TROJ_AGENT.BK TROJ_AGENT.BN TROJ_AGENT.BR TROJ_AGENT.BZ TROJ_AGENT.CC TROJ_AGENT.CK TROJ_MUDROP.H ----------------------------------------------------------------------------- Copyright 1989-2004 Trend Micro, Inc. All rights reserved. -----------------------------------------------------------------------------
__________________
....... ___ [Thread Ufficiale] --- VENDO:__COVER + VETRO BQ Aquaris X/X PRO__HW VARIO, ali, mobo, ram, cpu, ventole, etc.__ _CLICCA QUI PER VEDERE LE TRATTATIVE CONCLUSE e LE REGOLE DELLE MIE INSERZIONI__ |
|
|
|
|
14-06-2004, 01:15
|
#3 |
|
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4426
|
io non ho ancora ricevuto nessuna cartolina
|
|
|
|
|
14-06-2004, 10:05
|
#4 |
|
Senior Member
Iscritto dal: Apr 2002
Messaggi: 23793
|
__________________
....... ___ [Thread Ufficiale] --- VENDO:__COVER + VETRO BQ Aquaris X/X PRO__HW VARIO, ali, mobo, ram, cpu, ventole, etc.__ _CLICCA QUI PER VEDERE LE TRATTATIVE CONCLUSE e LE REGOLE DELLE MIE INSERZIONI__ |
|
|
|
|
14-06-2004, 16:35
|
#5 |
|
Member
Iscritto dal: May 2004
Città: Torino
Messaggi: 44
|
io l'ho beccato..credo!
Help me!!stamattina ho scaricato la posta e me ne sono arrivate be 2180, tutte uguali bene o male, diciamo ke le mail erano 4 ripetute ognina circa 500 volte con in oggetto: Ti e arrivata una cartolina virtuale!
Le ho cancellate tutte senza aprirle (almeno io ho fatto così, poi non so se qualcuno a mia insaputa in ufficio ne ha aperta una!). Ora il pc si skianta in continuazione e soprattutto mi si pianta ogni volta Outlook Express, ogni volta che lo apro si blocca completamente l'applicazione e non c'è verso di farla ripartire. Vi prego aiuto, cosa devo fare!?!? Prima ho aggiornato L'AV AVG 6, ho fatto partire la scansione completa e si è skiantato il pc! ho riavviato e trovato il tool della Symantec..vedremo ke succede!! Avete idee!? VI PREGO!!! 
|
|
|
|
|
14-06-2004, 17:06
|
#6 |
|
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
In effetti su uno dei server di posta che gestisco, era un periodo di calma (non piu' di 5 - 6i virus al giorno) oggi mi ritrovo 50 virus da sabato (e pensare che sabato e domenica arriva sempre poca roba) all'inizio segnalati come virus potenziali:
Codice:
Disallowed breakage found in header name - potential virus poi, qualche ora dopo (quindi con l'antivirus piu' aggiornato), hanno iniziato a piovermi seganlazioni di: Codice:
W32/Zafi.B W32/Zafi.B@mm Ciao!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
|
|
|
14-06-2004, 17:40
|
#7 |
|
Senior Member
Iscritto dal: Apr 2002
Messaggi: 23793
|
cancellate le maill via web
chi ha server di posta attivi filtri antispam ciaooo
__________________
....... ___ [Thread Ufficiale] --- VENDO:__COVER + VETRO BQ Aquaris X/X PRO__HW VARIO, ali, mobo, ram, cpu, ventole, etc.__ _CLICCA QUI PER VEDERE LE TRATTATIVE CONCLUSE e LE REGOLE DELLE MIE INSERZIONI__ |
|
|
|
|
14-06-2004, 17:42
|
#8 | |
|
Member
Iscritto dal: Dec 2001
Città: Rovigo
Messaggi: 116
|
Re: io l'ho beccato..credo!
Quote:
(premetto che la lan era protetta dal dat 4365 di McAfee... quindi scoperta) ho pigliato il portatile (tu puoi tranquillamente usare Housecall di trendmicro... http://it.trendmicro-europe.com/cons...secall_pre.php e seguire le istruzioni a video per togliere il virus) aggiornato il dat del cillin alla 905...e via a perlustrare la LAN...  due sistemi infettati di brutto...eseguito le procedure di pulizia e adesso ho aggiornato il dat di mcafee alla 4366 che quantomeno dovrebbe garantire un attimo di sicurezza... la cosa che mi ha fatto girare un po' le palline è il fatto che stamattina il mcafee ha aggiornato il dat alla 4365 e poi solo nel pomeriggio alla 4366 che è appunto la dat garante contro ZAFI lasciando per l'appunto i sistemi sguarniti...  non sono un esperto di sicurezza...ma per un attimo quando ho visto il worm assassino andare a ravanare nei file exe che gestiscono l'accesso ad AS/400 (client access)...ho temuto il peggio... 
__________________
Home Cinema: TV LCD Sharp LC-37XD1E - Sintoampli Marantz SR5400 OSE - Ampli Sonic T-AMP - Lettore DVD Marantz DV7600 - Lettore CD Yamaha CDX460 - Diffusori Canton Frontali LE190 - Surrounds LE120 - Centrale LE150CM - SubW Canton ASD110SC |
|
|
|
|
|
14-06-2004, 17:49
|
#9 |
|
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Io per tenermi un po piu' al sicuro, nei server mail che installo (qmail sotto linux) oltre all'antivirus e all'antispam, disabilito tutti i formati "eseguibili" di win, quindi non possono arrivare attach con file .exe .pif .com .vbs .scr .wsh .hta .lnk in questo modo ho bloccato moltissimi virus che l'antivirus non riconosceva ancora.
Ciao!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
|
|
|
14-06-2004, 18:16
|
#10 |
|
Member
Iscritto dal: Dec 2001
Città: Rovigo
Messaggi: 116
|
....ehehe...poi nel pomeriggio ho avuto la confessione piena di due mie colleghe che messe al muro hanno rivelato che una si è vista la cartolina e zacchete l'ha aperta....
l'altra invece ignara ha trovato una mail da una fantomatica "psm porcellane" (ditta inesistente) con dentro scritto PROBLEMS !!...ha cliccato sul file problems.pif e al mio collega ha detto..."non si apre...uehueh" dopo 5 minuti aveva più di 100 mail delivery notification....  (lo dico io che qui occorre mettere su una rete più seria !!! tutti scaricano cosa vogliono e come vogliono e vengono fuori sti casini bestiali....  )
__________________
Home Cinema: TV LCD Sharp LC-37XD1E - Sintoampli Marantz SR5400 OSE - Ampli Sonic T-AMP - Lettore DVD Marantz DV7600 - Lettore CD Yamaha CDX460 - Diffusori Canton Frontali LE190 - Surrounds LE120 - Centrale LE150CM - SubW Canton ASD110SC |
|
|
|
|
14-06-2004, 18:20
|
#11 | |
|
Senior Member
Iscritto dal: Apr 2002
Messaggi: 23793
|
Quote:
classico....sono nella stessa situazione con addirittura server al quasi collasso per insufficenza hardware da un anno dico 1 anno!!!! [mode titolare on] non è il momento abbiamo altre spese rimandiamo tutto a data da decidere........  [mode tiolare off] mavaff
__________________
....... ___ [Thread Ufficiale] --- VENDO:__COVER + VETRO BQ Aquaris X/X PRO__HW VARIO, ali, mobo, ram, cpu, ventole, etc.__ _CLICCA QUI PER VEDERE LE TRATTATIVE CONCLUSE e LE REGOLE DELLE MIE INSERZIONI__ |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:18.
